ESET研究人员发现一款滥用窃取的数字证书的恶意软件活动。系统中的安全软件将恶意软件活动中的许多协议标记为可疑的（suspicious）。但这些被标记的文件使用的是有效的D-Link公司代码签名证书。完全同样的证书之前也被用于对非恶意顶D-Link软件进行签名；因此，证书貌似被窃取了。

在确认了文件的恶意本质后，研究人员通知了D-Link，然后D-Link自己对该事件进行了分析。2018年7月3日，D-Link撤销了被黑的数字证书。

图1. 用于对恶意软件签名的 D-Link代码签名证书

恶意软件

分析发现两个滥用被窃证书的恶意软件家族，Plead是一个远程控制的后门和相关的密码窃取组件。最近JPCERT发布了对Plead后门的深度分析，Trend Micro分析称，Plead是网络监控组织BlackTech使用的恶意软件。

图2. 用于对恶意软件签名的Changing Information Technology代码签名证书

根据用D-Link证书签名的Plead样本，ESET研究人员识别了一些用属于台湾安全公司Changing Information Technology的证书签名的样本。虽然BlackTech组织使用Changing Information Technology的证书来签名，但早在2017年7月4日，该证书就被撤销了。

黑掉许多台湾科技公司并使用代码签名证书用于未来的攻击，表明该组织攻击能力非常强，并且重点攻击区域就是台湾。

签名的Plead恶意软件样本还用一些没有用的样本进行混淆了，但是恶意软件的目的与其他样本是相似的：从远处服务器中下载，然后在本地打开一个加密的二进制大对象。该二进制大对象含有加密后的shellcode，这是从最后的Plead后门模块去下载。

图3. Plead恶意软件的混淆后的代码

密码窃取器是用来收集下面列表中应用保存的密码：

· Google Chrome

· Microsoft Internet Explorer

· Microsoft Outlook

· Mozilla Firefox

为什么要窃取数字证书？

滥用数字证书是网络犯罪分子尝试隐藏恶意目的新方法之一，因为窃取的证书会让恶意软件看起来是合法的，这样有很大概率会绕过安全软件的检测。

目前使用窃取数字证书最臭名昭著的恶意软件应该是2010年发现的Stuxnet蠕虫。Stuxnet使用的是窃取自RealTek和JMicron的数字证书，这两个公司也是台湾的著名科技公司。